Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag nach Art 28 Abs 3 DSGVO zwischen der Kanzlei als Verantwortlicher und taxado als Auftragsverarbeiter (im Folgenden gemeinsam kurz als „Parteien“ bezeichnet)

Präambel

Der Auftragsverarbeiter hat sich verpflichtet, die in § 3 beschriebenen Datenverarbeitungen gegenüber dem Verantwortlichen zu erbringen.

§ 1
Für die Zwecke dieses Vertrages gelten die Begriffsdefinitionen der Datenschutzgrundverordnung („DSGVO“).

§ 2
Der Ansprechpartner beim Auftragsverarbeiter für datenschutzrechtliche Angelegenheiten: Wolfgang Deutschmann [email protected]

§ 3
(1) Umfang, Zweck und Gegenstand der Datenverarbeitung durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Der Auftragsverarbeiter erbringt für den Verantwortlichen folgende Leistungen auf Grundlage des Hauptvertrages: Zweck und Gegenstand der Datenverarbeitungen sind daher:

  • das Kanzleimarketing (Bereitstellung und Veröffentlichung vom Kanzleiprofil)
  • das Recruiting (Veröffentlichung von Stellenanzeigen)
  • die Bewerbungsverwaltung (Bereitstellung der Bewerbungsdaten Speicherung der erstellten Kommentare, Notizen und des Bewerbungsstatus zu einzelnen Bewerbungen; Übermittlung des Bewerbungsstatus an das Talent)
  • Verwaltung der Mitarbeiter:innen (Speicherung der Mitarbeiter:innen)

(1.1) Kategorien der betroffenen Personen:

  • Talente
  • Mitarbeiter:innen

(1.2) Kategorien der personenbezogenen Daten:

  • Talente: Anrede, Titel, Name, Beruf, Geschlecht, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, Foto, Ausbildung, Berufserfahrung, Fremdsprachen, Publikationen, Fähigkeiten, Auszeichnungen, Gehaltsvorstellungen, weitere von den Talenten bekanntgegebene Daten, Bewerbungsstatus, von der Kanzlei zum Talent erstellte Kommentare oder Notizen
  • Mitarbeiter:innen: Anrede, Titel, Name, Firma, Adresse, E-Mail-Adresse, Telefonnummer, Ansprechpartner:in inkl. Berufsbezeichnung, Foto Ansprechpartner:in, E-Mail-Adresse Ansprechpartner:in; weitere von den Mitarbeiter:innen bekanntgegebene Daten

§ 4
Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen ergeben. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich entsprechend dem Hauptvertrag und gemäß einer allenfalls weitergehenden Weisung, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

§ 5
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich innerhalb der EU/des EWR, soweit nicht eine anderweitige Weisung erteilt wurde oder sofern eine Übermittlung nach den Bestimmungen des Art 44 ff DSGVO zulässig ist.

§ 6
Der Verantwortliche führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art 30 Abs 1 DSGVO. Er informiert den Auftragsverarbeiter unverzüglich, falls er der Meinung ist, dass eine Verarbeitung gegen die DSGVO oder andere Bestimmungen der EU oder der Mitgliedstaaten verstößt oder er sonstige Unregelmäßigkeiten feststellt.

§ 7
Der Auftragsverarbeiter führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art 30 Abs 2 DSGVO. Er informiert den Verantwortlichen unverzüglich, falls er der Meinung ist, dass eine Weisung gegen die DSGVO oder andere Bestimmungen der EU oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter kann mit der Umsetzung einer solchen Weisung solange zuwarten, bis die Weisung bestätigt oder abgeändert wurde.

§ 8
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 9
Der Auftragsverarbeiter ergreift ausreichend Sicherheitsmaßnahmen, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden, insbesondere alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen. Die implementierten Sicherheitsmaßnahmen sind Anlage 1 dieses Vertrags zu entnehmen. Der Auftragsverarbeiter ist zur Anpassung der Sicherheitsmaßnahmen entsprechend dem Fortschritt der Stand der Technik sowie zur Heranziehung von alternativen Sicherheitsmaßnahmen befugt, soweit das Sicherheitsniveau dadurch nicht gesenkt wird.

§ 10
(1) Der Auftragsverarbeiter kann einen anderen Auftragsverarbeiter oder Sub-Auftragsverarbeiter (im Folgenden gemeinsam „Sub-Auftragsverarbeiter“) auch ohne Zustimmung des Verantwortlichen heranziehen. Der Auftragsverarbeiter hat den Verantwortlichen von der beabsichtigten Heranziehung zu informieren. Bei Erhebung eines Einspruchs binnen 4 Wochen durch den Verantwortlichen hat der Auftragsverarbeiter nach seiner Wahl
(i) hinsichtlich des Hauptvertrages ein Sonderkündigungsrecht unabhängig von der Laufzeit oder
(ii) das Recht die Leistungen, die dieser Sub-Auftragsverarbeiter erbringt, gegenüber dem Verantwortlichen einzustellen.
(2) Nimmt der Auftragsverarbeiter einen anderen Sub-Auftragsverarbeiter in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem Sub-Auftragsverarbeiter im Wege eines Vertrages dieselben Datenschutzpflichten auferlegt, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen des anwendbaren Datenschutzrechts erfolgt. (3) Der Verantwortliche genehmigt die unter diesem Link gelisteten Sub-Auftragsverarbeiter.

§ 11
(1) Soweit dies möglich ist, unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflichten des Verantwortlichen bei Anträgen auf Wahrnehmung der Betroffenenrechte gemäß dem anwendbaren Datenschutzrecht, einschließlich Kapitel III der DSGVO.
(2) Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß dem anwendbaren Datenschutzrecht, einschließlich Art 32–36 DSGVO.

§ 12
Der Auftragsverarbeiter löscht nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt diese nach Weisung in angemessenem Zeitraum zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Für die Rückgabe der Daten gebührt dem Auftragsverarbeiter ein angemessenes Entgelt.

§ 13
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung.

§ 14
Die Haftung beider Parteien ist auf grobes Verschulden beschränkt. Eine Haftung für bloße Vermögensschäden ist ausgeschlossen. Der Verantwortliche haftet dem Auftragsverarbeiter und hält diesen zu Gänze schad- und klaglos für Verstöße gegen geltende Datenschutzgesetze, die im alleinigen oder überwiegenden Verantwortungsbereich des Verantwortlichen liegen und für die der Auftragsverarbeiter von einer betroffenen Person oder der Datenschutzbehörde in Anspruch genommen wird. In einem solchen Fall ist der Auftragsverarbeiter berechtigt, das Konto des Verantwortlichen zu sperren, wobei der vereinbarte Entgeltanspruch des Auftragsverarbeiters weiterhin besteht.

§ 15
Änderungen dieses Vertrages sind ausschließlich in schriftlicher Form vorzunehmen. Dies gilt auch für das Schriftlichkeitsgebot. Es gilt österreichisches Recht und Ausschluss der Verweisungsnormen. Gerichtsstands für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist das sachlich und örtlich zuständige Gericht am Sitz des Auftragsverarbeiters. Sollte eine Bestimmung dieses Vertrages ungültig oder unwirksam sein oder werden, wird sie, soweit gesetzlich zulässig, durch jene Bestimmung ersetzt, die der ungültigen oder unwirksamen Bestimmung am nächsten kommt.


Anlage 1

Technische und organisatorische Maßnahmen zum Schutz der personenbezogener Daten beim Auftragsverarbeiter

Vorbeugende Sicherheitsmaßnahmen

Technische Maßnahmen

  • Logische Zugriffskontrolle: Bei der Vergabe von Zugriffsberechtigungen wird das „Need-to-Know“-Prinzip angewendet.
  • Authentifizierung: Ein Zugriff auf personenbezogene Daten erfolgt nur nach erfolgreicher Authentifizierung.
  • Passwortsicherheit: Passwörter werden ausschließlich verschlüsselt gespeichert, sind mindestens acht Zeichen lang und bestehen aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen.
  • Verschlüsselung auf dem Übertragungsweg: Personenbezogene Daten werden auf dem Übertragungsweg über das Internet verschlüsselt (jedenfalls dann, wenn es sich um Daten der Lohnverrechnung oder sensible Daten handelt).
  • Verschlüsselung mobiler Geräte: Mobile Endgeräte und mobile Datenträger werden verschlüsselt (jedenfalls dann, wenn auf den Geräten Daten der Lohnverrechnung oder sensible Daten gespeichert sind).
  • Netzwerksicherheit: Es ist eine Firewall implementiert, welche das interne Netzwerk vom Internet trennt und – soweit möglich – einen eingehenden Netzwerkverkehr blockiert.
  • Maßnahmen gegen Schadsoftware: Nach Möglichkeit wird auf allen Systemen Anti-Virus-Software eingesetzt. Alle eingehenden E-Mails werden automatisch auf Schadsoftware gescannt.
  • Management von Sicherheitslücken: Soweit machbar ist auf allen Geräten die automatische Installation von Sicherheitsupdates aktiviert.

Organisatorische Maßnahmen

  • Klare Zuständigkeiten: Intern ist die Zuständigkeit für Fragen der Datensicherheit definiert.
  • Verschwiegenheitspflicht der Dienstnehmer:innen Dienstnehmer:innen sind über die Dauer ihres Dienstverhältnisses hinaus zur Verschwiegenheit verpflichtet. Insbesondere sind sie dazu verpflichtet, personenbezogene Daten nur auf ausdrückliche Anweisung eines Vorgesetzten an Dritte zu übermitteln.
  • Schulungen und Informationsmaßnahmen: Dienstnehmer:innen sind zu Fragen der Datensicherheit (intern oder extern) geschult und angemessen über Fragen der Datensicherheit informiert (zB Passwortsicherheit).
  • Geordnete Beendigung des Dienstverhältnisses: Bei Beendigung des Dienstverhältnisses erfolgt eine unverzügliche Sperrung aller Konten von ausscheidenden Dienstnehmer:innen und alle Schlüssel abgenommen,
  • Verwaltung von Computer-Hardware: Es bestehen Aufzeichnungen darüber, welche Dienstnehmer:innen welche Endgeräte (zB PC, Laptop, Mobiltelefon) erhalten haben.
  • Eingabekontrolle: Es besteht ein Verfahren zur Kontrolle der Richtigkeit der eingegebenen personenbezogenen Daten.
  • Keine Doppelverwendung von Benutzer-Accounts: Jede Person hat ihren eigenen Benutzer-Account und das Teilen von Benutzer-Accounts ist untersagt.
  • Keine unnötige Verwendung administrativer Accounts: Benutzer-Accounts mit administrativen Rechten werden nur in Ausnahmefällen verwendet – die reguläre Nutzung von IT-Systemen erfolgt ohne administrativen Rechten.
  • Auswahl der Dienstleister: Bei der Auswahl von Dienstleistern wird das Datensicherheitsniveau geprüft. Der Einsatz eines Dienstleisters, welcher als Auftragsverarbeiter einzustufen ist, erfolgt nur nach Abschluss einer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
  • Sichere Entsorgung von Daten: Papier, das personenbezogene Daten enthält, wird grundsätzlich geschreddert bzw. an einen externen Dienstleister zur sicheren Entsorgung übergeben. Datenträger werden vor ihrer Entsorgung vollständig überschrieben oder physisch zerstört, sodass die darauf gespeicherten Daten nicht wiederhergestellt werden können.

Physische Maßnahmen

  • Physische Zugangskontrolle: Das Betreten der Betriebsräumlichkeiten ist für betriebsfremde Personen nur in Begleitung einer betriebsangehörigen Person zulässig.
  • Einbruchsicherheit: Die Zugänge zu den Betriebsräumlichkeiten verfügen über einen angemessenen Einbruchschutz (zB eine Sicherheitstüre höherer Widerstandsklasse).
  • Besonderer Schutz von Computer-Hardware: Der Zugang zu Räumlichkeiten, in denen sich Computer-Server befinden, ist durch besondere Maßnahmen gesichert (zB Code/Karte zur Türöffnung erforderlich).
  • Schlüsselverwaltung: Schlüssel oder Codes, welche den Zugang zu den Betriebsräumlichkeiten oder Teilen derselben ermöglichen, werden nur an besonders vertrauenswürdige Personen ausgehändigt und dies auch nur soweit und solange diese Personen tatsächlich einen solchen Schlüssel oder Code benötigen. Maßnahmen zur Erkennung eines Angriffs

Technische Maßnahmen

  • Scans nach Schadsoftware: Es werden in regelmäßigen Abständen Scans nach Schadsoftware (Antivirus-Scans) durchgeführt, um Schadsoftware identifizieren zu können, welche ein IT-System bereits kompromittiert hat.
  • Automatische Prüfung von Logfiles: Soweit die Sicherheits-Logfiles mehrerer Systeme auf einem System zentralisiert gesammelt sind, erfolgt eine automatisierte Auswertung der Logfiles, um eine mögliche Sicherheitsverletzung erkennen zu können.
  • Sicherheits-Newsletter: Es wird sichergestellt, dass ein Mitarbeiter des Unternehmens oder ein externer Dienstleister einen Newsletter zu aktuellen IT-Bedrohungen abonniert hat, um stets die aktuellsten Bedrohungen zu kennen.

Organisatorische Maßnahmen

  • Erkennung von Sicherheitsverletzungen durch Dienstnehmer:innen Dienstnehmer:innen sind darin geschult, wie sie Sicherheitsverletzungen erkennen können (zB verschwundene Computer-Hardware, bei Meldungen der Antivirus-Software).
  • Reporting-Systeme: Es bestehen technische Verfahren, die es Dienstnehmer:innen ermöglichen, Auffälligkeiten bei technischen Systemen an die zuständigen Personen zu melden.
  • Betriebsfremde Personen: Alle Mitarbeiter sind instruiert, betriebsfremde Personen in den Betriebsräumlichkeiten anzusprechen.
  • Audits: Es werden regelmäßig Audits durchgeführt (zB Prüfung, ob alle kritischen Sicherheits-Updates installiert wurden). Insbesondere erfolgt eine regelmäßige Prüfung der erteilten Zugriffs- und Zutrittsberechtigungen (welchem Mitarbeiter ist welcher Benutzer-Account mit welchen Zugriffsrechten zugewiesen; welche Personen verfügen über welche Schlüssel oder Codes).
  • Manuelle Prüfung von Logfiles: Soweit Logfiles geführt werden (etwa über erfolglose Authentifizierungsversuche), werden diese in regelmäßigen Abständen geprüft.

Physische Maßnahmen

  • Brandmelder: Es ist ein Brandmelder installiert, der bei Rauch automatisch ausgelöst wird.

Maßnahmen zur Reaktion auf einen Angriff

Technische Maßnahmen

  • Datenkopien: Es werden regelmäßig Datenkopien erstellt und sicher aufbewahrt.
  • Konzept zur Datenwiederherstellung: Es ist ein Konzept zur raschen Wiederherstellung von Datensicherungen vorhanden, um nach einer Sicherheitsverletzung zeitnah den regulären Betrieb wiederherstellen zu können.
  • Automatische Entfernung von Schadsoftware: Die eingesetzte Anti-Virus-Software verfügt über die Funktion, Schadsoftware automatisch entfernen zu können.

Organisatorische Maßnahmen

  • Meldepflicht für Dienstnehmer:innen Alle Dienstnehmer:innen sind angewiesen, Sicherheitsverletzungen unverzüglich an eine zuvor definierte interne Stelle bzw. Person zu melden.
  • Meldepflicht für externe Dienstleister: Allen Dienstleistern wurden Kontaktdaten für die Meldung von Sicherheitsverletzungen mitgeteilt.
  • Prozess für die Reaktion auf Sicherheitsverletzungen: Durch einen Prozess wird sichergestellt, dass Sicherheitsverletzungen innerhalb von 72 Stunden ab Kenntnis der Sicherheitsverletzung an die Datenschutzbehörde gemeldet werden können. Allen Dienstnehmer:innen sind die Notfall-Telefonnummern der zu involvierenden Personen bekannt.

Physische Maßnahmen

  • Feuerlöscher: In den Betriebsräumlichkeiten gibt es eine geeignete Anzahl an Feuerlöschern. Alle Dienstnehmer:innen sind darüber instruiert, wo sich die Feuerlöscher befinden.
  • Feueralarm: Soweit es keinen Brandmelder gibt, der über eine automatische Verbindung zur Feuerwehr verfügt, wird durch einen angemessenen Prozess sichergestellt, dass die Feuerwehr manuell verständigt werden kann. Maßnahmen zur Minderung von Angriffen

Technische Maßnahmen

  • Automatische Warnmeldungen: Nutzer erhalten automatische Warnmeldungen bei risikoträchtiger IT-Nutzung (zB durch den Webbrowser, wenn eine verschlüsselte Website kein korrektes SSL/TLS-Zertifikat verwendet).

Organisatorische Maßnahmen

  • Sanktionen bei Angriffen durch eigene Dienstnehmer:innen Alle Dienstnehmer:innen wurden darüber informiert, dass Angriffe auf betriebseigene IT-Systeme nicht toleriert werden und schwerwiegende arbeitsrechtliche als auch strafrechtliche Konsequenzen nach sich ziehen können.
  • Protokollierung von Zugriffen: Zugriffe auf Anwendungen, insb. die Eingabe, Löschung und Änderung von Daten werden standardmäßig protokolliert.

AVV Kanzleien Download